[Oleg Krylov]

Версии сервис-паков на ISA?

[dim_alf]

Microsoft ISA Server 2004
Version: 4.0.2167.887

SP3 в общем. На винде на роутере правда первый, но не думаю, что это может так сильно влиять...

[Oleg Krylov]

На Exchange в SMTP-логе в качестве клиентов какие адреса?

[dim_alf]

входящие идут с IP шлюза.

Код:

2009-02-18 08:27:31 192.168.1.1 head1.camp4.maillist.agava.net SMTPSVC1 MAINSERVER 192.168.1.10 0 EHLO - +head1.camp4.maillist.agava.net 250

[dim_alf]

Олег, есть мысли как не поднимая на роутере промежуточный SMTP-сервер для пересылки и перенося туда спам-фильтр сделать тестирование before arrival?

[dim_alf]

итак, Oleg Krylov'у спасибо за подсказку. Хорошее решение почти всегда является красивым, поэтому обошелся своими силами без дополнительного сервера. Последовательность действий выглядит следующим образом:
1. Лезем в лог-файл Exchange 2003, который по-умолчанию располагается %windir%\System32\LogFiles\SMTPSVC1, выбираем любой лог-файл
2. Находим строчку входящего подключения. Примечательно, что исходящие подключения маркируются параметром OutboundConnectionResponse записанным в поле cs-username, значит нам нужно строчка без этой записи.
3. Смотрим IP источника в этой строчке. В моем случае это было что-то вида 2009-02-18 08:27:31 192.168.1.1 head1.camp4.maillist.agava.net SMTPSVC1. Если IP - ваш внутренний это означает, что шлюз подменяет внешние адреса, и у вас есть два варианта - либо настраивать шлюз таким образом, чтобы он пробрасывал пакеты без изменения адреса отправителя, либо выносить ORF на шлюзовой комп, как это описано в статье.
4. У меня в качестве шлюза стоит Microsoft ISA Server 2004 SP3, хотя тут версии сервис-паков не имеют значения. Так же не играет роли каким образом вы пробрасывали порт SMTP наружу - "мастером произвольной публикации" либо "мастером публикации почтового сервера", потому что в результате создаются идентичные правила. За одним маленьким исключением. Достаточно в свойствах правила сменить на закладке "To" в разделе "Requests for the published server" пункт на "Request appear to come from original client". Этот пункт позволяет как раз пробрасывать без смены адреса, а значит использовать в ORF на внутреннем сервер можно!
5. Данный пункт автоматически выставляется при пробросе SMTP server-to-server communication и не выставляется в остальных случаях, тут Олег был прав (как всегда, впрочем )

надеюсь, что немного расписанной инструкции поможет избежать кому-нибудь подобной ошибки в дальнейшем.

[Yampo]

Решение еще более элегантное и красивое - в документации к ORF на странице 3 разъясняется, что шлюз, равно, как и все резервные MX необходимо добавить в Intermrdiate Hosts. Так как при прохождении через различные промежуточные серверы smtp сохраняет в заголовках письма IP адреса, это позволяет вполне корректно применять любые фильтры.

[dim_alf]

там же в инструкции по тонкой настройке указано, что адреса локальных сетей класса A, B, C добавляются автоматически, нет нужды добавлять их в IHL вручную:

Цитата:

Что конкретно мне нужно добавить в список вспомогательных хостов? Добавьте IP адреса каждого хоста, относящегося к ORF серверу. Обычно список таков: - резервные MX, - серверы с внешним интерфейсом в DMZ (когда ORF работает на выходном буфере), - непрозрачные брандмауэры. Обратите внимание на то, что список вспомогательных хостов, касающийся личных внутрисетевых адресов класса A, B и С выстраивается автоматически, вам не нужно добавлять их вручную. Адреса подразделяются следующим образом: 10.0.0.0 – 10.255.255.255 (Класс A), 172.16.0.0 – 172.31.0.0 (Класс B) и 192.168.0.0 – 192.168.255.0 (Класс C).

В моем случае ни автоматическая настройка, как написано в инструкции, на ручное добавление внутреннего адреса роутера не помогали - в логах ORF все равто отображался внутренний адрес роутера, а в мониторинге показывалось, что Before Arrival не работает по причине Before Arrival IP whitelist Tests